La guerra alla crittografia - alcune questioni tecniche

41 commenti (espandi tutti)

From the Institute for Communitarian Policy Studies.
An Apple—FBI compromise?

I asked a list of colleagues the following (their responses follow, all quoted with permission):

Please let me know if in the following way we can have our Apple and eat it too. Seriously—allow the FBI to get the information protecting national security requires—and protect the privacy of other phone users.  Apple argues that if it introduced a backdoor into the high power encryption program it inserted into its new phones, this vulnerability would allow foreign governments, criminals, and hackers to violate the privacy of many millions of phone users around the world.

Let us assume that Apple leaves the phones as they are—but develops a key to unlock them it keeps, protecting it by using Apple's high power encryption. Once a court orders that a given phone must be unlocked, the FBI will bring it to Apple, which will unlock it, and turn over to the FBI  the found information —but not the key. (NY Police Department alone has 300 such phones waiting to be "read')

What is wrong with this approach?

Granted, applying the same methods to phones that is still in the hands of terrorists, drug lords, and human traffickers, raises additional challenges.  But here too, as long as the surveillance is carried out via Apple—the encryption of all other phones is not threatened.

Apple argues that if it did so for the USA—other governments would demand the same access. If Apple feels it cannot resist such demands, what is to prevent China and Russia from demanding access even if US did not get it?

Apple sometimes says that it cannot unlock these phones, but it told the court that this would be expensive—i.e. it can be done. Moreover, the Wall Street Journal pointed out that it would cost merely the same as one engineer for one year.

There are many other reasons Apple and other high-tech corporations  give for objecting to collaborating with the government.

I am asking merely a technical question. Can a key kept by Apple under its high power encryption unlock selected phones without making other phones vulnerable?

Kindly respond to etzioni@gwu.edu and also let me know if I may quote you. For more about this topic, see my paper on "Ultimate Encryption" on SSRN.

James H. Morris, Professor of Computer Science, Carnegie Mellon

What you suggest is certainly possible. In fact, what the government is asking--that Apple install an operating system that will allow the FBI to try millions of passwords--has the same proproperty: only Apple could repeat it. There's no back door here.

Furthermore, it would probably cost Apple 5 minutes on an engineer's time, simply commenting out the code that bricks the phone after ten rapid password guess.

I think this is entirely a battle over the legal precedent. Apple knows, it submits now, it will be very hard to refuse in the future, even for China or Russia. 

Also, the government is after a precedent and chose this case carefully to maximize the public support for their case. They could have chose any of the 300 other cases, but they weren't about terrorism.

Steve Bellovin, Professor, Dept. of Computer Science, Columbia University

You asked "I am asking merely a technical question. Can a key kept by Apple under its high power encryption unlock selected phones without making other phones vulnerable?"

The short answer is "no".

For full details, see http://cybersecurity.oxfordjournals.org/content/early/2015/11/17/cybsec.tyv009 (I'm one of the authors) and Susan Landau's Judiciary Committee testimony at http://judiciary.house.gov/_cache/files/b3af6e9e-b599-4216-b2f9-1aee6a1d90cd/landau-written-testimony.pdf. Briefly, there are several different problems.  First, what you suggest -- encrypting under a key known only to Apple -- sound easy but isn't.  Cryptography is a very subtle technical discipline; it's very hard to get even the simplest things right.  To give one example, see https://www.cert.org/historical/advisories/CA-2000-18.cfm? -- an "additional key" solution that turned out to be fatally flawed in a fashion that is blindingly obvious after the fact.  Nevertheless, the mistake occurred in product from a company whose business was selling cryptographic solutions, i.e., one that you'd think had the competence to avoid such errors.

Second, with the thousands of phones that need to be unlocked in the US alone (if Manhattan alone has 200 and (per an article I read last week) Sacramento County has 80, the nationwide number can't be less than that), protecting this one Apple key and/or its use becomes very difficult.  (See Landau's discussion of "routinization".)  A key can be readily available or it can be secure; it can't be both.

Third, the existence of this key is a magnet for nasty governments.  Maybe Apple is good at resisting ordinary hackers, though they're a sufficiently secretive company that I don't know if we'd know if they were hacked.  For that matter, I don't know if they'd know; most victims never notice.  (Home Depot found out they'd been penetrated for 6 months not by their own technical efforts but because some banks tracked a pattern of credit card fraud to their customers.)  Intelligence agencies, though, are way ahead of ordinary hackers.  China hacked Google 6 years ago, and Google is acknowledged to be one of the best in the business.

By the way, you wrote "protecting it by using Apple's high power encryption".  That's the wrong approach; that just moves the problem to protecting another key.  For this, you need technical, physical, and procedural security measures, probably not more encryption.

John Pike, Director, GlobalSecurity.org

Let us assume that Apple leaves the phones as they are but develops a key to unlock them it keeps, protecting it by using Apple's high power encryption. Once a court orders that a given phone must be unlocked, the FBI will bring it to Apple, which will unlock it, and turn over to the FBI  the found information but not the key.

I have tried not to follow this controversy, since so many other people are following it. But I think that this is what is being proposed.

As long as the surveillance is carried out via Applethe encryption of all other phones is not threatened.

I think that Apple is arguing that they cannot protect the security of their gizmo, which would find its way out of Apple and into the hands of evil-doers.

China and Russia from demanding access

That is, how can Apple resist lawful orders from unsavory governments. Their argument is that the existence of such governments means that no government anywhere can enforce a lawful search warrant. I try to avoid pretending to be a lawyer, but this would seem to make compliance with any search warrant a voluntary affair, or at least allow the subject of the warrant to condition compliance with their assessment of the legitimacy of the issuing authority.

Can a key kept by Apple under its high power encryption unlock selected phones without making other phones vulnerable?

Again, their claim is that the dang thing would escape their premises, and get into the hands of evildoers.

David Bantz, Chief Information Architect, University of Alaska system

Of course Apple could create and selectively apply a version of their OS to phones identified by law.  That is pretty much exactly what they've been asked to do by FBI.

But once you have a special version of the OS that disables protections against guessing password to unlock the phone, how to prevent it from getting abused - for example to unlock your phone or mine?  NYC and FBI have hundreds of phones they want to unlock.

That would entail a process involving many people and loading the OS on many phones. That makes it possible maybe even likely that one of those people entrusted with that power is coerced or bribed or is clumsy enough to put it in the hands of criminals.

At that point the criminals can unlock your phone and mine. They could then read your documents, install their own software to steal your passwords or track your use.

Maybe you trust that even with hundreds of agents and Apple employees use the broke OS on hundreds or thousands of phones their performance will be perfect so that no criminal gets he broken OS. Do you trust that enough that you would very sensitive info to that process?  Many will not, and that lack of confidence means we have lost confidence in the security of our info and opened ourselves up to invasive intrusion via malware installed without our knowledge.

(The even more valuable thing to steal would be the secret key that has to be used to sign the OS so that your phone will accept the OS. With that a criminal can write their own even nastier more broken OS and push it onto your phone. The possibilities are endless.)

Amitai Etzioni:

Dear colleague,

I hear you but do you believe that means the FBI will be blinded? Or do you believe they are bluffing or there are not major costs if they are blinded?

Best, Amitai

David Bantz:

If you mean by "blinded" that the FBI won't be able to break into an arbitrary iPhone by getting Apple to break the phone by pushing the OS that disables the phone's security, then yes, they won't be able to.  In this particular case, apparently the FBI would have been in a better position to get information off the phone if they had not first reset the phone's password (I don't understand the details of that, but I've read semi-technical articles that assert so).

While I would like law enforcement to get information that help gets bad guys, the cost for some ways of getting information may be too high.

Stories about this Apple/FBI conflict usually state the issue in terms of privacy - that if the tool were to escape or be misused, individuals' privacy could be violated. While that's true, said that way it seems the trade-off is possible embarrassment - uncovering a person's unwise email messages, or their viewing of smut. And since those seem venial and even uninteresting, it might seem little is given up (particularly since I bet we all think it's someone else who will be embarrassed - not us).

But security is at stake too: the security of information that is rightly - necessarily - kept secret by law abiding individuals. Financial data is an example: your credit card numbers (with the billing and pin we regularly provide in buying books or socks on line), bank account passwords, and the like. While I can't really imagine serious bad guys going to a lot of trouble to find your or my browsing history or read our emails, it certainly is worth their trouble to capture that financial data and max out our credit cards, get new cards issued in your or my name issued to them, transfer funds from our accounts and so on (I mean of course not one or two, but at scale). If you knew this was possible after many Apple employees had access to broken OS and the means to force that OS onto an iPhone (signing keys that would also work to force a different OS broken in other ways onto phones), would you still trust your financial secrets to be on that iPhone? And of course, even if compromising my words and yours doesn't rise to a serious loss of security broadly speaking, compromising the email and documents of the government officials or CEOs surely would.

Here's a sounder slightly more technical account by information security maven Jeff Schiller: https://jis.qyv.name/home/pages/20160226

Jeffrey A. Eisenach,  Senior Vice President and Co-Chair of NERA's Communications, Media, and Internet Practice

Actually, no..... not according to Apple. The govt has already offered the "you keep it" option -- indeed, not just keep it, but destroy it.  Apple argues that simply the act of hacking the phone makes it more likely they will be asked to do so in the future....  Not a very credible argument I think.

Prof. Roger Bohn, Associate Dean, School of Global Policy and Strategy, UC San Diego

A quick response. Of course nobody knows all the answers in detail to your questions.

First, read up on what a "key" really is in this case. It's not at all analogous to a  physical key.

Second, Apple's real concern is clearly not this case, but the precedent. The USG, in various cases elsewhere, as well as various states, have already made it clear that they plan to use a favorable judicial decision in this case for multiple other phones. So Apple, quite correctly, does not view this as a "one time" thing; it is setting a  precedent. And it fundamentally does not trust the USG  or any other government to act legally and with restraint.

Third, Anything can be reverse engineered. Once Apple creates this tool, and the source code that goes with it, there are numerous ways that other players can end up getting their hands on the core ideas, and implementing their own versions. It's like building the first A-bomb. It's still very hard to build another one, but look at all the security there, and USSR had its own within a few years.

Regarding other countries: You can answer this one yourself. Consider the difference in telling the Chinese government "No" in two scenarios.

1) "We did not do it for our own government, and we won't do it for anyone. That protects everyone who uses Apple products, including Chinese, from American espionage."

2) "We don't like you as much as we like the USG, so although we did it for them, we won't do it for you."

Which position is going to cost less for Apple to maintain, in the face of determined pushback from Chinese government?

Andrew Percy, FRSA, CEO, Justworks, Silicon Valley, and Spokesperson for the LIFE movement

A single key to unlock all doors would be the greatest prize for the devil... and impossible to protect.

The answer is to set up the infrastructure that allows everyone to have their own key, but provide a mechanism to access to an individual's key with a court order.

This system is specified at www.Standardsoflife.org/xID.

Alexandr Burilkov, Research Fellow/Doctoral Student, GIGA Institute of Asian Studies

I'm not strictly speaking a techie, rather a political science grad student, but I work with statistics and programming and have some knowledge of cryptography.

Apple uses the same 256 bit AES standard encryption developed by the US gov't in 2001 and now in use across NATO and the private sector worldwide.  The key is fused into the device at the hardware level, and with a decent password, a brute force attack that looks at all possible password combinations would take years on average to succeed.

What the US government wants is to have access to Apple's records of keys built into its devices.  This can easily be done on a case-by-case basis, when a single device is brought to the court and decrypted by Apple.  So yes, decrypting selected phones can easily be done without compromising others; if that weren't the case, the AES standard would be far worse than what it is, and wouldn't be in use by NATO.

As to the argument that China and Russia would demand access, I know for sure that at least the Russians have a very advanced surveillance network (SORM, active since 1995) analogous and perhaps even superior to the NSA.  The Russians would likely much prefer to find a way to decrypt Apple devices that Apple isn't even aware of, rather than trying to pressure Apple openly, as the Chinese have done with Google.  This would be possible when an user uses their Apple device and the signal carrying passwords and other sensitive information is captured by the Russians (here in Germany there was a similar scandal, when iPhones were hacked by thieves by capturing the signal in order to extract logins and credit card information). 

Furthermore, in extremis the Russians would probably resort to coercion of individuals, and most encryption doesn't survive rubber hose cryptanalysis.  Therefore, Apple's argument on that is rather spurious.

Clay G. Wescott, President, International Public Management Network

In my view, this isn't a tech issue, but a governance one. Countries like China routinely ask tech companies for information about dissidents, and the consequences can be long prison terms. Apple wants to be able to say no.

Philip A. Schrodt, Senior Research Scientist, Parus Analytical Systems LLC

This is in the current issue of Science and is a great example of how a system (BitCoin) that everyone wanted to be secure (even if some of the "everyone" were some nasty characters...) but through just a few people being a little sloppy, got compromised and once compromised (in this case by law enforcement), provides far more information than would have been available had the "secure" system not been used in the first place. Again, the problem is not the technology, it is people getting careless about how they use the technology.

Michael Boylan, Professor of Philosophy, Marymount University

I agree with you about having Apple unlock the phone under its own authority, keeping the phone in their care, custody and control, and turning over the files/information that would be mentioned in a court order.  Apple would be safe.  Foreign governments would only have leverage over Apple if they used economic arguments.  For example, China could say, unlock this phone or we don't let you do business in China.  Of course, in the language of statistics, this is an independent event. China might say this whether or not Apple acted in the U.S. case at hand.  The two sorts of cases demand different sorts of internal standards on the part of Apple.  I remember when Google pulled out of the Chinese market because it did not want to be a party to e-mail surveillance.  Apple might choose to do the same--even though they (Apple) has manufacturing relationships as well with China (which do not adequately recognize employee rights).  It is very interesting which "values" seem dominant within one's shared community worldview.
Bill Loughrey,  former technology executive on two presidential commissions on encryption
This is about a simple thing called security.  Would you live in a house if the terrorists had the key to it?  Terrorists are tough guys.  Do you think they will use technology or live in a house if the police have a key to it?  Would you claim a product is secure if the law enforcement officials have the key to it?  We used to have security built into the public infrastructure so that there was public access.  It is now basically in the ends of the network where the technology companies control it.  They don't build good security into their products, because they can charge more for it later on.  Apple has totally blown it by letting their security be a public spectacle.  They now have for less security than their had before.  By the way, the terrorists are already using another technology - at least for their secure communications.

Brian Forst, PhD, Professor of Justice, Law and Criminology, School of Public Affairs, American University

Thank you for your thoughtful, concise assessment of the Apple vs US controversy.  I think your question, "Can a key kept by Apple under its high power encryption unlock selected phones without making other phones vulnerable?" really extracts the essential question from the considerable clouds of smoke that this case has generated.  I think the answer to this question can be summarized in terms of the slippery slope problem:  Yes they could, but if they break precedent in this case there will be no end of other requests, and they can claim moral high ground by standing on the side of their customers' rights to privacy to avoid the hassle and build goodwill among their mostly liberal, educated customer base.  That may sound cynical, but I've yet to see another explanation that makes more sense.

Vladimir Baranovsky, Russian Academy of Sciences, Centre for Situation Analysis, director

To 'a technical question: Can a key kept by Apple under its high power encryption unlock selected phones without making other phones vulnerable?' there is a strictly technical answer: yes it can! But the problem is by no means a strictly technical one. In so far as there is no 100 (hundred) per cent certitude that unlocking phones is technically impossible, - such unlocking becomes possible due to human factor.

Amitai Etzioni

Many thanks. While I am studying the various documents and reflect on what I learned, here are my thoughts on one key point: The argument that if Apple will help the US government it will have to do the same for other, authoritarian governments.  From all these well-taken responses, there follows:

Apple's Chinese Red Herrings
Far from yielding to the FBI's call to help it gain access to messages stored in a terrorist's cell phone, Apple is doubling down: Apple is working to increase its iCloud encryption, which would inhibit even Apple itself from retrieving password-protected customer data stored in its cloud.

Congress must act soon to stop Apple

If Congress does not act soon to rule that the CALEA act applies to extremely strong encryption inserted into Apple phones, every terrorist, drug dealer, and human trafficker with half a brain will get one. They may have waited a bit to find out if these phones are really as impenetrable as both the FBI and Apple claim, but one must assume they are increasingly convinced

Credo che la seguente affermazione di Brian Forst contenuta nell'articolo
postato da Michele Boldrin sia il nodo centrale di tutta la questione del "going
dark debate" (GDD):

«I think the answer to this question can be summarized in terms of the slippery
slope problem: Yes they could, but if they break precedent in this case there
will be no end of other requests, and they can claim moral high ground by
standing on the side of their customers' rights to privacy to avoid the hassle
and build goodwill among their mostly liberal, educated customer base.»

Personalmente, non ho problemi ad ammettere che l'argomentazione proposta da
alcuni "privacy advocates" sia esattamente uno slippery slope, e quindi in linea
di principio un ragionamento fallace. Limitandosi al singolo caso della strage
di San Bernardino, non si può concludere per via deduttiva che qualche altra
enforcement agency in futuro farà richieste via via più "esose" in termini di
violazione della privacy con la scusa di portare avanti le investigazioni.

Questo, però, limitandosi appunto alla situazione contingente di Apple
vs. FBI. Ora, vorrei invitare alla seguente riflessione, che tocca un aspetto
tipicamente trascurato in questo tipo di discussioni:

I dati che vengono recuperati da telefoni o altri device di terroristi/criminali
durante le investigazioni sono utili?

Michele Boldrin ha ipotizzato la situazione in cui il telefono di Farook
contenga dati relativi ad altri attentati terroristici. Sotto questa ipotesi, è
difficile non essere d'accordo sulla necessità da parte delle aziende IT di
collaborare con le autorità (posto chiaramente il trade-off tra sicurezza
nazionale e privacy che uno si pone).

La validità di questa argomentazione, però, a mio avviso si basa sulle due
seguenti assunzioni, chiaramente legate tra loro:

1) La presunzione che un determinato telefono/device contenga informazioni utili
per continuare le indagini o sventare altri attacchi.

2) Il fatto che il telefono/device effettivamente contenga le suddette

Personalmente, credo che per poter prendere una decisione informata sul GDD (o
anche solo farsi un'idea corretta della situazione), sia necessario misurare in
qualche modo l'effettiva utilità di questi dati verificando l'assunzione (2)
ex-post, caso per caso.

Passiamo ora dal particolare al generale: storicamente, FBI, NSA e altre
enforcement agencies non sono nuove a questo tipo di richieste. Negli anni '90,
come osservava Giorgio Gilestro in un commento precedente menzionando le crypto
wars, il governo USA aveva implementato misure di intercettazione ben più palesi
e pesanti per tutti i prodotti crittografici sviluppati negli Stati Uniti (e,
più in generale, anche per le comunicazioni telefoniche).

Le argomentazioni dell'FBI, all'epoca, erano centrate più sul crimine interno
che sul terrorismo, ma la retorica è esattamente la stessa che vediamo nel caso
della strage di San Bernardino in questi giorni. Bruce Schneier osserva in [1]
che il direttore dell'FBI di allora sbandierava il caso di John Gotti per
giustificare la necessità delle intercettazioni telefoniche. Ma, di fatto,
l'investigazione su Gotti è proseguita facendo intercettazione ambientale
(cimici), e non telefonica.

Schneier continua osservando che non c'è evidenza per cui l'"ostacolo
crittografico" abbia mai impedito in modo critico il proseguimento delle
investigazioni. D'accordo, le fonti a supporto di questa affermazione di
Schneier riguardano crimini generici investigati dalla polizia e non il
terrorismo, quindi magari non sono completamente applicabili a questo caso della
strage di San Bernardino. D'altro canto, occorre notare che l'FBI periodicamente
torna sempre a sbandierare il fantoccio del "Going Dark": una volta per i
mobster, un'altra per i pedofili, stavolta per i terroristi. Eppure, non ha mai
dichiarato, che mi risulti, quanto siano stati utili i dati recuperati dai
telefoni/device di criminali (perché lo ha fatto, diverse volte) per proseguire
le investigazioni.

Per questo motivo, sebbene concordo sul fatto che la slippery slope sia in
generale un ragionamento fallace (e quindi probabilmente lo è anche nel
frangente del GDD), personalmente consiglierei prudenza sull'assecondare le
richieste delle enforcement agencies, e di esigere più trasparenza sull'utilità
dei dati che vogliono ai fini delle loro indagini.


[1] B. Schneier. Stop the Hysteria over Apple
Encryption. https://www.schneier.com/essays/archives/2014/10/stop_the_hysteria_ov.html

Sto ancora leggendo ma intanto mi sono imbattuto in primo passaggio che merita un chiarimento. David Bantz scrive:

Of course Apple could create and selectively apply a version of their OS to phones identified by law.  That is pretty much exactly what they've been asked to do by FBI.

But once you have a special version of the OS that disables protections against guessing password to unlock the phone, how to prevent it from getting abused - for example to unlock your phone or mine?  NYC and FBI have hundreds of phones they want to unlock.

That would entail a process involving many people and loading the OS on many phones. That makes it possible maybe even likely that one of those people entrusted with that power is coerced or bribed or is clumsy enough to put it in the hands of criminals.

At that point the criminals can unlock your phone and mine. They could then read your documents, install their own software to steal your passwords or track your use.

Ecco, in realtà pensare che un simile software sia concepito senza essere a sua volta protetto da password mi pare di una ingenuità eccessiva, soprattutto da parte di un informatico. Il sistema creato da Apple (e da ogni altro produttore) potrebbe solo funzionare sulla base di sistemi tipo "key escrow", già qui discussi. Con chiave di accesso usa e getta, a disposizione solo su ordine della magistratura. Il software sarebbe "firmato" da Apple stessa, quindi questo genere di protezione rimane. Poi se uno ruba la password per firmare il softare, come sostiene DB alla fine, vero, sarebbe un problema ma lo sarebbe anche oggi, indipendentemente dalla presenza o meno di versioni in grado di permettere la forza bruta per indovinare un pin di 6 numeri.

Francesco Forti, la tua proposta è sicuramente possibile, almeno in linea di principio. Purtroppo la vedo difficilmente attuabile in pratica. Visto che non voglio dare l'impressione di nascondermi dietro "totem" tecnologici o scientifici, cerco di articolare meglio i miei dubbi.

A livello astratto, l'oggetto di base del problema è un sistema di comunicazione oppure un sistema di archiviazione delle informazioni, chiamiamolo A. Sia esso un telefono/device elettronico su cui sono memorizzati dei dati, sia esso un collegamento telefonico o internet su cui passano dei dati, poco conta: ciò che è importante è che questi dati, per svariati buoni motivi, vanno protetti da possibili attaccanti in grado di intercettarli. Ora, la crittografia offre uno strumento che, sempre in linea teorica, permette di "risolvere" questo problema. Ho scritto risolvere tra virgolette perché, ipersemplificando, tutta la sicurezza di questa costruzione dipende dal fatto che la chiave utilizzata per eseguire la cifratura rimanga nascosta. E mantenere segreta questa chiave comporta altri problemi, che possono essere gestiti (ma non risolti completamente, va detto) usando altri strumenti, siano essi ancora di tipo crittografico, o di sicurezza procedurale, o di sicurezza fisica o altro.

Ciò che si vorrebbe nel mondo ideale è che la sicurezza di questo sistema A possa essere bypassata  in caso di necessità anche senza la chiave, e solo da determinati attori oltre ai legittimi proprietari/utenti. Il modo in cui ciò viene realizzato, tramite backdoor nel codice sorgente che implementa l'algoritmo di cifratura o firmware appositi che scavalcano completamente l'algoritmo di cifratura e l'architettura di sicurezza soprastante come nel caso contingente di Apple, è completamente irrilevante. Chiameremo l'oggetto che permette di bypassare la sicurezza del sistema A come sistema B.

La soluzione diretta che viene in mente, come proponi tu, è di trattare B esattamente come un altro sistema di comunicazione o di archiviazione delle informazioni. E quindi per esempio utilizzare gli strumenti della crittografia, ovvero fare in modo che B possa essere utilizzato solo attraverso un'altra chiave crittografica.

In questo modo, però, abbiamo sempre il problema di mantenere segreta la chiave crittografica di B. Quindi abbiamo spostato lo stesso problema che avevamo con il sistema di cifratura di A a B. Si può considerare, in un certo senso, come un problema del secondo ordine in crittografia. D'accordo, come menzionavo prima si può nascondere questa chiave utilizzando ancora strumenti di crittografia (andando quindi al terzo, quarto ordine ecc.), o di sicurezza fisica, o quant'altro. Ma come ho già detto, queste soluzioni non sono bulletproof al 100%, e avremo sempre il rischio che la chiave di B possa essere intercettata.

Ora si potrebbe obiettare: ok, però un agente razionale, a seconda della sua misura di utilità, può pure accettare una determinata soglia di rischio che la chiave venga trafugata. E aggiungendo strati di sicurezza (cioè aumentando quello che ho chiamato l'"ordine" del problema) uno si aspetterebbe, intuitivamente, che questo rischio man mano si abbassi. Questo potrebbe essere vero, ma c'è da considerare una cosa: aumentando l'ordine del problema, diventa via via più complicato implementare i sistemi che si comportino in modo corretto.

Ciò che proponi può essere visto come un problema del terzo ordine:

1: Sistema di cifratura di A -> 2: Sistema di cifratura di B -> 3: gestione della segretezza della chiave di B

Certo, in linea di principio è sempre possibile trovare qualche soluzione per il terzo livello, tramite key escrow, schemi di condivisione dei segreti, o altre soluzioni non di tipo crittografico. Il punto però che sto cercando di evidenziare è il seguente:

Allo stato attuale, non siamo neanche in grado di implementare in modo corretto il sistema di cifratura per A!

Esempi di quello che ho appena detto se ne trovano un tanto al chilo in tutta la storia dei programmi di crittografia. Per parafrasare una battuta di Matthew Green: "alcuni pensano che nel 2026 avremo a disposizione algoritmi di cifratura super sicuri, resistenti perfino ai computer quantistici. La mia predizione è che nel 2026 staremo ancora cercando di implementare in modo giusto Diffie-Hellman".

Dove Diffie-Hellman è stato il primo protocollo di condivisione delle chiavi crittografiche, introdotto nel 1976. La battuta non è guidata da nessuno "spirito totemico" per cui i crittografi pensano che una cosa non possa essere fatta dal punto di vista tecnico e basta. È invece dettata dall'esperienza di decine di implementazioni di algoritmi di cifratura rivelatesi poi insicure e bacate, con flaw di sicurezza molto pesanti.

La bottom line di questa tirata direi che è: nessun informatico (meglio dire, nessun crittografo) è così ingenuo da pensare che un sistema come quello che FBI voleva chiedere ad Apple non possa essere protetto in qualche modo. Ma occorre essere consapevoli di due cose:

1) Proteggere un sistema per bypassare una cifratura tramite un'altra cifratura o algoritmo crittografico sposta solo il problema ad un ordine superiore, perché dobbiamo sempre custodire e mantenere segreta una chiave, alla fine.

2) Spostare un problema all'ordine superiore tipicamente finisce per aumentare la complessità del sistema globale, e quindi aumenta la probabilità di realizzarlo in modo errato, aumentando anche la superficie d'attacco (cioè il numero di possibilità a disposizione di un attaccante per compromettere il sistema)

Come già nota Steve Bellovin nell'articolo postato da Michele Boldrin, la crittografia è una disciplina complessa, dove riuscire a realizzare anche la cosa più semplice non è affatto banale, ed è facile sbagliare. In generale, non ci si può aspettare che soluzioni a problemi complessi non siano altrettanto complesse. Tra parentesi, la soluzione tecnica del key escrow, in questo caso specifico, è probabilmente la meno adatta di tutte, per una pletora di motivi che possono essere approfonditi in questo articolo di Schneier:


The Risks of Key Recovery, Key Escrow, and Trusted Third-Party Encryption

No, il sistema B come dico è protetto da una password scritta su carta (ipotesi) e custodita in cassaforte. Dove hackers e compagnia non possono entrare. Menzionavo Fort Knox giusto per dare l'idea di un posto sicuro, dove tutti vorrebbero entrare ma dove per ora non ci sono riusciti. Non serve ipotizzare un C, D ed altri ordini superiori. Ed è pure una password usa e getta. Una volta usata, non funziona piu'. Ora sono perfettamente d'accordo che l'implementazione di un simile sistema implica non pochi problemi pratici. Ma l'umanità ha risolto problemi ben piu' rilevanti e difficili. L'importante è la volontà di arrivare ad una soluzione di compromesso, che salvi privacy individuiale e sicurezza nazionale (quindi di tutti). Se c'è la volontà vedrai che poi i problemi pratici si risolvono.

Francesco, la key escrow si puo' anche fare ma per farla breve ci sono due problemi, uno di carattere tecnico e uno di carattere politico. 

1) tecnico: non importa che le chiavi stiano sulla luna. Key Escrow implica che ogni processo di crytpo che avviene, avvenga usando lo stesso codice sia esso software o firmware. Ora: scrivere un codice perfetto e' praticamente impossibile. Bugs se ne trovano in continuazione, anche nei sistemi piu' sofisticati. Prendi ad esempio le consoles di videogiochi: sono anni che c'e' una guerra infuocata tra i produttori di videogiochi e gli hackers. I primi non vogliono che le consoles siano modificabili per scoraggiare la pirateria, i secondi puntualmente riescono a trovare qualche modo ingegnoso per fare con le console quello che vogliono. E ti assicuro che la guerra e' davvero infuocata e il livello di sofisticazione delle consoles e' molto alto. Immagina cosa vorrebbe dire trovare un bug che ti permette di accedere ai contenuti di qualsiasi device critpografato degli USA?! 

2) politico: come tanti hanno gia' fatto notare, le barriere per ottenere un software criptografico "illegale" sarebbero bassissime. Non ci sarebbe neanche bisogno di inventare nulla o di scaricare nulla, basterebbe usare un telefono usato di una generazione pre-key escrow. Non stiamo parlando di rendere illegale un'arma da fuoco o una bomba atomica ma solo alcune righe di codice.

Concordo, Giorgio, ma stammi un po' a sentire. Il fatto che non sia possibile scrivere codice perfetto e che la sicurezza assoluta non esista è noto ma deve diventare un ostacolo? Intanto partiamo dal dato di fatto, ammettendo di credere ad FBI, che un modo per accedere ai dati criptati di quel telefono è stato comunque trovato. L'argomento principe un po' di tutti è stato "se ci riesce FBI ci possono  riuscire altri". Poi altri diventa "tutti". Lo stesso argomento usato per negare soluzioni tipo backdoor e vedo anche ora Key Escrow. Insomma lo stesso argomento ci dice che comunque vada, si faccia o non si faccia, ora tutti i nosti dati a cui teniamo sono passibili di essere violati. Siamo fritti.

E se non esiste sicurezza assoluta sarà sempre cosi', ma a costo (uso "costo" non a caso) di una escalation continua tra produttori, governi, hackers che implica sviluppo continuo, codici sempre piu' compressi (e forse per questo piu' vulnerabili). È un po' il ragionamento della proliferazione delle testate nucleari. Dopo un po' hanno capito che era un gioco stupido: loose-loose.Costava troppo. Ed hanno fermato la corsa.

E qui vengo all'aspetto politico. In realtà come detto piu' volte, la soluzione è politica. Nel senso che se tra produttori e governi che offrano garanzie di democraticità (stato di diritto, divisione dei poteri) si arriva ad un accordo, poi le soluzioni tecniche si trovano, settore per settore. Per ora parliamo della telefonia. Non me ne intendo di protocolli GSM tra telefono e provider ma ipotizzo che dopo una certa transizione temporale, solo telefonini dotati di crittografia legale (chiamiamola cosi') potranno accedere alla rete di quel determinato paese. Se hanno attivato la protezione dei dati.  Chi non attiva quella funzione, si connette liberamente. È solo un'idea, tra tante, per dire che le soluzioni possibili sono tante e non sono quello il vero problema. Il vero problema è politico.

Non siamo fritti perche' il modello commerciale attuale e' dinamico: la competizione, lo sviluppo tecnologico contribuiscono a creare mese dopo mese prodotti migliori. Come dicevo, bugs se ne trovano in continuazione e vengono aggiustati o modificati. Ogni volta che il tuo computer o telefono ti chiede di fare un security update, e' per quel motivo. Avere un sistema centralizzato di key escrow renderebbe tutto piu' lento se non immobile.

 In realtà come detto piu' volte, la soluzione è politica. Nel senso che se tra produttori e governi che offrano garanzie di democraticità (stato di diritto, divisione dei poteri) si arriva ad un accordo, poi le soluzioni tecniche si trovano, settore per settore

Francesco, questo e' un ragionamento da pointy haired boss:

La parte tecnica non puo' essere secondaria. Non basta la buona volonta'. Puoi rendere facilmente la vita difficile al cittadino qualunque ma non al terrorista. Del resto anche gli esplosivi sono illegali, no? Se tutti sti kamikaze riescono a procurarsi esplosivi - che insomma non e' che si trovino nelle merendine - figurati quando ci mettono a scaricarsi un programma di crypto.

Ogni volta che il tuo computer o telefono ti chiede di fare un security update, e' per quel motivo. Avere un sistema centralizzato di key escrow renderebbe tutto piu' lento se non immobile.

Key Escrow (ma chissà quanti altri sistemi spno concepibili) è solo per la parte accesso a dati crittografati. Cosa che mi pare abbastanza stabile, sul piano della teoria matematica. Tutto il resto continuerebbe ad essere migliorabile.
Si', il mio approccio è da pointy haired boss .-)
Anche se un po' piu' concreto (penso) di quanto riportato nell'esempio grafico.

Le soluzioni tecniche sono migliaia. Scegliere quale tra mille e adottarla non è secondario ma viene dopo la decisione politica di trovare un compromesso sul tema del trade-off.
Senza questo inutile nemmeno affrontare le questioni tecniche che tendano al compromesso regolatorio.

Vedi, io mi limito a pensare che agli incroci ci sia un forte pericolo di scontri tra veicoli. Bisogna trovare un compromesso tra libertà di tutti di muoversi come vogliono, ed una qualche regola che limiti il movimento. Se siamo d'accordo, non tiratemi in ballo le liberà fondamentali. Tecnicamene poi la soluzione puo' essere il semaforo, la rotonda, lo stop, la limitazione di velocità, una buona segnaletica. Magari ci saranno ancora morti e magari qualcuni passerà col rosso a 100km/h ma questa non è una scusa per negare regolzioni.

Ma se non siete d'accordo, che su vada pure avanti così con la escalation, che promette e permette un crescente fatturato.  Se poi ci sono ogni tanto delle vittime evitabili, amen.

Le soluzioni tecniche sono migliaia. Scegliere quale tra mille e adottarla non è secondario ma viene dopo la decisione politica di trovare un compromesso sul tema del trade-off.

I crittografi di professione (che non sono quelli che "ne sanno un pò di matematica") e praticamente tutti i maggiori esperti di sicurezza informatica al mondo stanno cercando di spiegare che non è così, non è vero che esistono soluzioni tecniche sicure, scalabili e ad costo ragionevole che risolvano questo problema. In questo paper, già citato più volte


una mezza dozzina di autorità nel campo spiegano il loro punto di vista con parole semplici e alla portata di una platea non specializzata. Ad esempio, si continua a citare il key escrow come se bastasse mettere in cassaforte dei foglietti di carta, mentre le comuni tecnologie che usiamo tutti i giorni già utilizzano principi di sicurezza (es. forward secrecy) che rendono non solo inutile ma largamente impraticabile questo approccio, prima ancora che insicuro. Si può ovviamente dissentire, ma continuare a dire "prima si mette d'accordo la politica, poi la soluzione tecnica si trova" non ha senso, i politici devono delineare i requisiti e affidare ai tecnici la valutazione della fattibilità e l'ingegnerizzazione delle soluzioni, almeno l'analisi dei rischi va fatta in modo corretto, poi liberi di accettare un trade-off sbilanciato, ma assumere che si possa fare una scelta a prescindere dagli aspetti implementativi è una ricetta disastrosa.

Bene, se non esistono soluzioni tecniche, se essi sono pari a zero, basta discutere con i tecnici (crittografi). Ne discutano tutti gli altri.  Sarà una nota frase odiosa ma ... Se non sei parte della soluzione, sei parte del problema.

Si è vero, i non tecnici saranno sicuramente in grado di implementare le soluzioni che i tecnici dicono non possibili.

il problema è che una cosa che gli esperti giudicano "poco saggia" viene richiesta a gran voce trasformando il tutto in una specie di questione morale dov'è tutte le opinioni contano allo stesso modo e "decide la maggioranza". Cos'è un dibattito sul nucleare?

Bene, se non esistono soluzioni tecniche, se essi sono pari a zero, basta discutere con i tecnici (crittografi). Ne discutano tutti gli altri.  Sarà una nota frase odiosa ma ... Se non sei parte dellasoluzione, sei parte del problema.

Un'ottima argomentazione, solida e fondata: se un problema complesso non ha una soluzione semplice, facciamo finta che il problema non esista. Mi hai convinto.

Ci sarebbe da ridere.

Come dire: vogliamo andare su Vega. I tecnici ci dicono che è impossibile con le attuali tecnologie, ma noi gli rispondiamo che con gli incentivi giusti potrebbero sicuramente costruire un'astronave per andare su Vega, solo che noi non sappiamo come. I tecnici ci spiegano per filo e per segno come negli ultimi decenni si sia dibattuto ai massimi livelli di quali siano le difficoltà (leggi: impossiblità pratiche) nel costruire un'astronave per Vega, e noi gli rispondiamo che sono paranoici che si preoccupano di dettagli implementativi superabili con i giusti incenviti, e alla fine che sono parte del problema. Quindi ci mettiamo a discutere di quale impianto normativo inventarci per eliminare gli aerei, sostituendoli con astronavi per Vega.

Ci sarebbe da ridere, se non ci fosse da piangere per la serietà con cui invece si pensa di poter ignorare il "parere rispettabile" di decenni di studi dei massimi esperti del settore, per risolvere un problema che secondo gli esperti del settore è marginale imponendo qualcosa che secondo gli esperti avrebbe conseguenze gravissime.

 imponendo qualcosa che secondo gli esperti avrebbe conseguenze gravissime.

Che poi possono imporre quello che vogliono ai fornitori di dispositivi o sistemi operativi, ma non risolverebbero nulla in ogni caso. Conosco uno che nei primi anni 90 aveva sviluppato e vendeva soluzioni per cifrare dischi o anche solo partizioni su DOS o Windows 3.1/95.

Il rischio, anzi la certezza, è di introdurre un potenziale single point of failure in tutta l'infrastruttura informatica ma solo limitatamente ai dispositivi usati legittimamente da cittadini USA.

Mi era piaciuto l'esempio, ma controllando, Vega è a soli 25 anni luce dalla terra, piazzare qualche colonia attorno a Vega intuitivamente pare un problema più semplice da risolvere che soddisfare i sogni anti crittografici di alcuni governi.
Più realistico usare Andromeda ...

Ed e' questo il punto: i piu' accesi fautori delle "soluzioni di compromesso", assunte assiomaticamente esistere, sono quelli con meno cognizioni tecniche in materia. Visto che parli di GSM suppongo tu ti riverisca alle comunicazioni cifrate, piu' che all'encryption della memoria dati del telefonino. Allora: le comunicazioni dati per app su smartphone non viaggiano via GSM come gli SMS, ma su IP: che puo' a sua volta essere trasportato sui segnali telefonici, ma anche Wi-Fi (e, su altro hardware, anche su layers fisici diversi come i cavi Ethernet o la fibra ottica). Tutta l'architettura di Internet si basa sul suo essere una "stupid network", in cui i carrier si occupano solo di istradare (route) da un indirizzo IP a un altro IP pacchetti dati "opachi", cioe' del cui contenuto non sanno, e non vogliono sapere, assolutamente nulla. L'eventuale cifratura viene effettuata al layer applicativo, cioe' nel software che gira su host connessi a Internet (smartphone, laptop, server etc.). E il principio N.1 di ogni sistema di comunicazione sicura e' che la sicurezza e' tale solo se end-to-end, cioe' se i dati sono in chiaro solo all'interno dei due endpoint, ma restano cifrati lungo tutto il percorso dall'host di partenza a quello di arrivo. (I sistemi di cifratura usati per ta telefonia vocale GSM, al contrario, operano solo nel link da telefonino a stazione base: e infatti ogni tanto scappa fuori qualche intercettazione abusiva. Ma questo non ha nulla a che fare con comunicazioni testuali (IM) o vocali (VoIP) via Internet).
Morale della favola: per un carrier bloccare comunicazioni Internet cifrate e' impossibile, perche' dovrebbe avere equipaggiamento in grado di ispezionare i pacchetti IP e decidere che quelle sequenze di bit sono dati cifrati, e non invece sequenze dall'apparenza random che possono essere qualunque cosa a discrezione degli host che stanno comunicando. Il servizio di cifratura non compete ai carrier, ma a software applicativo che e' spesso disponibile anche in open source e installabile da chiunque in giro per il mondo senza dover chiedere il permesso a nessuno: non ai carrier, non all'FBI, e nemmeno al Presidente degli Stati Uniti in persona.

Enzo, visto che nessuno puo' sapere tutto la tua affermazione implica che nessuno puo' proporre soluzioni politiche.

Dimenticavo, mi riferivo ai dati cifrati dentro il telefono.

Stiamo finalmente arrivando al motivo per cui tutti i techies - e non solo su questo thread - concordano sul fatto che una soluzione politica non esista.  Non e' perche' sono tutti matti paranoici o perche' abbiamo gli occhi fodereati di techno-prosciutto. Semplicemente perche' hanno iniziato a pensare a queste cose non l'altro ieri, ma 40 anni fa. Ci sono un sacco di cose di uso comune che i terroristi usano per programmare e attuari attentati, dai vestiti alle automobili. Nessuno si sogna di agire su queste perche' e' chiaro a tutti che - sebbene politicamente possibile - i costi sarebbero altissimi e i benefici vicini allo zero assoluto. Quello che i techies dicono e' solo: crypto va considerata alla stregua di un'automobile: si', possiamo bloccare crypto a tutti ad un costo enorme e effetto zero.


Comunque, ti do una "cattiva" notizia che forse non sai. Things are not going to get better for the NSA, infatti il contrario. Dopo le rivelazioni snowden, la comunita' tecnologica ha riconosciuto di aver fallito. Di aver abbassato la guardia e creato infrastrutture troppo semplici da manomettere e ora sta prendendo misure. Crypto sta diventanto sempre piu' comune: in europa e' passato dal 1% al 6% e cresce a vista d'occhio; I nuovi apple e i nuovi android hanno crypto attivata di default; ogni settimana su kickstarter esce un nuovo gadget che ti permette di farti your own encrypted dropbox da tenere a casa sua;  iniziano a vedersi i primi esempi di certificate authorities decentralizzati; si inizia a parlare seriamente di IPsec; ogni programma di chat ora offre end-to-end encryption; bitcoin ha creato un sacco di domanda per very strong crypto hardware; le authorities che regolano i nomi su internet (Icann) sta abbandonando gli usa e diventanto una agenzia internazionale e sovra-governativa. C'e' un motivo per cui negli ultimi mesi l'amminstriazione americana va in giro per conferenze tecnologiche a dire "fermi tutti, ritorniamo amici".

Il problema della competizione crittografica tra governi e aziende nello stesso paese e tra diversi paesi esiste da tempo, anche prima dei fatti di San Bernardino.

Che lo si voglia o no, all'origine di tutto questo sta lo scandalo Datagate. Da questa parte dell'Atlantico ci si e' di colpo resi conto che la questione non e' di secondaria importanza e le compagnie USA, non insensibili agli umori del mercato, si sono mosse di conseguenza.

La vertenza Apple vs. FBI andrebbe ricondotta in questo contesto e, in un certo senso, ha reso popolare il dibattito che da tempo in Europa e' presente, anche se non sulle prime pagine dei giornali.

c'è speranza dai :-)

Bene, non esiste una soluzione tecnica, non esiste una soluzione politica.

Cosa stiamo qui a discutere?

Cosa stiamo qui a discutere?

Ma infatti in molti informatici di una certa età sembrerà di esserè momentaneamente ringiovaniti, di una ventina d'anni almeno :)

ah, bei tempi quando la Francia proibiva la crittografia, e gli algoritmi potevano viaggiare sopra l'Atlantico solo se stampati su carta ;)

Stiamo finalmente arrivando al motivo per cui tutti i techies - e non solo su questo thread - concordano sul fatto che una soluzione politica non esista.  Non e' perche' sono tutti matti paranoici o perche' abbiamo gli occhi fodereati di techno-prosciutto. Semplicemente perche' hanno iniziato a pensare a queste cose non l'altro ieri, ma 40 anni fa. 

Devo confessare che dal mio punto di vista, oltre 30 anni di esperienza informatica, 20 professionale, la discussione su questo articolo è effettivamente sorprendente. 

Sarà probabilmente l'unico articolo in cui buona parte della redazione di NfA, magari senza rendersene conto, si sia schierata su posizioni stataliste e promonopolistiche.


Daniele D'Agnelli 31/3/2016 - 10:11

Non puoi adottare soluzioni politiche ad un problema matematico. Ormai la tecnologia per la cifratura esiste ed è pubblica quindi i terroristi possono avere la loro implementazione a livello applicazione. Una backdoor potrebbe essere che il telefono non cancella mai i dati transitati per le applicazioni\non fornisce questa funzione di cancellazione sicura ma a un certo punto lo spazio finisce e i terroristi possono sempre trovare il modo di saturare la memoria in modo che venga cancellato cio` che è passato di li in chiaro. Il tradeoff delle soluzioni commerciali per quanto riguarda la sicurezza è sempre quello di essere usabile in modo che venga adottato dall'utente medio. iPhone è protetto di default da un pin numerico di 6 cifre, il fatto che ci sia l'autodistruzione è irrilevante date le giuste competenze\strumenti (la consulenza di Apple), e comunque non era questa la richiesta del governo americano. fare il bruteforce di 6 cifre è un non problema. backdoor non vuol dire che posso installare a posteriori un software su un cellulare oggetto di indagine per indebolirne la sicurezza, implicherebbe che la backdoor già esiste ed aggira la cifratura per installare l'update. ci possiamo fidare del governo americano come istituzione perchè siamo bravi cittadini e non crediamo ai complotti, ma ci possiamo fidare anche delle singole persone che ci lavorano e che avrebbero accesso a questa fantomatica chiave? il caso snowden nel bene e nel male ci dice di no. il governo ha sempre potuto (con l'aiuto di apple o meno) sbloccare quell'iphone (cosa che guarda caso alla fine ha fatto. ripeto: parliamo con molta probabilità di 6 cifre numeriche di pin da scoprire) semplicemente voleva un precedente legale per avere un accesso privilegiato, qualcosa che magari possa stare in piedi in un processo in cui è coinvolto qualcuno che non è morto e che potrebbe argomentare qualcosa del tipo: e chi mi assicura che questo materiale compromettente non ce l'hai messo tu governo cattivo? qual è la procedura per fare le mie analisi di parte? avendo l'appoggio di apple questo porblema sarebbe (probabilmente) ampiamente mitigato.

...ma sono generalmente impraticabili. Gi economisti giustamente si spazientiscono quando nei forum spuntano su quelli che vogliono azzerare il debito pubblico monetizzandolo e asseriscono che questo non provocherebbe inflazione, o che hanno simili soluzioni miracolose (salvo qualche dettaglio minore che puo' essere risolto come esercizio dal lettore). Trovami qualche crittografo o security expert che dica cose diverse da quello che Giorgio e io stiamo cercando di spiegare... Persino l'ex direttore dell'NSA da' torto all'FBI!!

“I think Jim Comey is wrong… Jim’s logic is based on the belief that he remains the main body. That you should accommodate your movements to him, which is the main body. And I’m telling you, with regard to the cyber domain, he’s not. You are. [...] And by the way? If I were in Jim Comey’s job, I’d have Jim Comey’s point of view. I understand. But I’ve never been in Jim Comey’s job… my view on encryption is the same as [former Secretary of Homeland Security] Mike Chertoff’s, it’s the same as [former Deputy Secretary of Defense] Bill Lynn’s, and it’s the same as [former NSA director] Mike McConnell, who is one of my predecessors.”

Francesco, dalla tua risposta mi pare di capire un paio di cose:

1) Sei fermamente convinto del fatto che una soluzione tecnica del problema sia in ogni caso possibile e soprattutto fattibile, posto che ci sia la volontà politica di farlo.

2) Non hai ben presente le dimensioni del problema in oggetto.

Per quanto riguarda la 1), la tua mi sembra un'affermazione gratuita e non argomentata. Magari l'hai argomentata in altri thread di commento a questo post e me la sono persa (nel qual caso ti chiederei il favore di dirigermi al commento giusto). In ogni caso, personalmente credo che disaccoppiare la parte politica e la parte tecnica del problema sia poco utile. In particolare, ciò che proponi tu è di trovare a priori un compromesso politico e poi di determinare la soluzione tecnica ottimale per raggiungere questo compromesso. Mi sembra banale osservare che non è detto che un approccio del genere possa perfino ammettere delle soluzioni, in generale. Il tuo "vedrai" finale, mi spiace, a me sembra tutt'altro che scontato. Inoltre, ciò che proponi tu è completamente l'opposto di quello che si è verificato nella storia della scienza: tipicamente le scoperte scientifiche si sono sviluppate in modo più o meno indipendente dalla politica. Viceversa, la politica è quasi sempre arrivata dopo a trovare i compromessi necessari a normare le applicazioni di queste scoperte nel mondo reale.

Per quanto riguarda il punto 2), ti invito caldamente a leggere, se possibile, il paper di Schneier (e anche di altri diversi autori, mi scuso prima per l'attribuzione incompleta) che ho linkato nel mio commento precedente su key recovery e key escrow. Il fatto che tu proponga una soluzione di sicurezza fisica, in realtà, cambia di poco la sostanza del problema.

(e poi taccio per sempre)

io ammetto di non capire i problemi tecnici, ma, Giorgio ed Enzo, voi non capite il problema politico. La gente comune è terrorizzata, molto oltre la gravità pratica del problema del terrorismo (il numero di morti è una frazione minima di quelli per incidenti stradali). Reclama che si faccia qualcosa. Ci sono molti populisti disposti a suggerire soluzioni disastrose (espellere i musulmani, costruire muri ai confini, introdurre la pena di morte etc.). La soluzione ragionevole è una combinazione di diplomazia+operazioni militari mirate in Medio Oriente, propaganda anti-radicale e azione di intelligence in Occidente. tanto più la soluzione ragionevole è perseguita con coerenza e decisione, tanto meno grave è il terrorismo quindi tanto meno grave il rischio di vittoria dei populisti. OK?

 Una componente essenziale dell'intelligence è la decrittazione dei messaggi dei terroristi, OK?

  Ammettiamo che esista il programma di crittografia perfetto e che sia impossibile impedire che alcuni terroristi lo usino. Non sarà possibile decrittare i loro messaggi. Male - è come un terremoto di grado 9.9 nella scala Richter.

Ma ci sono anche i terremoti inferiori, e questi possono essere prevenuti costruendo case antisismiche. Io ritengo opportuno farlo, e credo che siano d'accordo anche i cittadini (o almeno i loro rappresentanti in parlamento che hanno votato le leggi antisismiche)

Lo stesso vale per la crittografia. Secondo me le ditte devono collaborare, e la Apple fa male ad opporsi ad una richiesta del giudice (forma legittima e democratica). Se lo faccia per motivi ideologici o di marketing è indifferente. Se dietro alla richiesta stia la Spectre  o no, è giudizio personale.

Ovviamente l'analogia non regge nella misura in cui i terremoti sono sempre negativi, mentre la crittografia è utile. Il punto di equilibrio è un problema politico - sono i cittadini che devono decidere quale livello di privacy vogliono.  La privacy NON E' UN VALORE ASSOLUTO - molti possono preferire meno privacy e più protezione. Il compito dei tecnici è quello di spiegare le alternative (che possono comprendere anche 'non si può far nulla contro il software X'), non quello di decidere che la privacy è più importante della lotta al terrorismo. E' lo stesso caso del debito pubblico. Gli economisti possono dire 'è meglio ridurre le spese che aumentare le tasse' o 'oltre il livello X il debito è insostenibile' etc. ma poi alla fine è il popolo (o le lobbies) che deci de. Nel caso della privacy, ho l'impressione che il livello preferito, almno in Italia, sia abbastanza basso, sia per la diffusione dei social media (una forma di esibizionismo) sia per il caso della lotta all'evasione. Da oggi lo stato ha accesso a tutte le informazioni sui conti correnti

Giovanni, non so se hai notato che nonostante le tue accuse di paranoia io finora non ho mai parlato di privacy. Mai neanche una volta, perche' la privacy e' tutto un altro discorso ancora in cui non voglio nemmeno entrare perche' molto molto piu' complesso.

Fino ad adesso, io e tanti altri in questo thread abbiamo solo cercato di spiegare come all'atto pratico, non sia possibile impedire al terrorista di non usare la criptografia, punto e basta. Tu continui a sostenere che a) i terroristi usano crypto b) bloccare crypto blocca i terroristi e c) bloccare i terroristi blocca l'ascesa dei populisti. Nessuna delle tre affermazioni ha ALCUN supporto, si tratta soltanto di tue congetture personali e wishful thinking. 






sulle perverse intenzioni dell'FBI.


No carissimo. Se ti riferisci al fatto che FBI ci tenesse a creare un precedente legale, lo ha affermato FBI stesso come ha linkato anche Enzo piu' sopra: http://www.theguardian.com/technology/2016/feb/25/fbi-director-james-com...

Se ti riferisci a cio' che sappiamo dei programmi di sorveglianza globale, sono tutti largamente confermati: https://en.wikipedia.org/wiki/Global_surveillance_disclosures_(2013%E2%80%93present)

Se ti riferisci ad altro, mi stai mettendo in bocca cose che non ho scritto da nessuna parte.

Come giustamente affermi più su: lo decide la Supreme Court.

Sempre più su affermi: "Ci sono molti populisti disposti a suggerire soluzioni disastrose (espellere i musulmani, costruire muri ai confini, introdurre la pena di morte etc.)."

Qual è il problema quindi? Ci sta la Supreme Court no? O il problema è che Trump alla Casa Bianca non fa dormire (te) sonni tranquilli mentre la Clinton sì? E` la democrazia e qualcuno che adesso non dorme bene dormirà meglio in quel caso. O no?

Cio` detto i governi hanno già tutti i mezzi per accedere alle comunicazioni dei cittadini (soprattutto dei loro) nella stragrande maggioranza dei casi (elettronica\software commerciale).

A naso ritengo che la NSA sia già in grado di rompere molte delle cifrature pubbliche considerate inviolabili senza ricorrere al bruteforce ma questo è (probabilmente) poco pratico nel caso si voglia, ad esempio, collezionare dati e metadati indiscriminatamente per il semplice motivo che se fosse semplice qualcun altro (e non mi riferisco a un altro stato) presto o tardi lo troverebbe.

Il miglior compromesso possibile è a parer mio che certe cose si possano fare ma con uno sforzo che, per le risorse tempo\potenza di calcolo necessarie, siano esclusiva (per un intervallo temporale sufficientemente lungo) degli stati.

Cioè come adesso.

che sull'onda del terrore causato dall' 11 settembre gli americani hanno concesso e preteso un Patriot Act che già molto prima del 2011( primo decennio dalla strage dell'11 settembre) una buona fetta di cittadini si sente oppressa dalla invasione sulla propria libertà personale causata dalla cascata di ritorno che il Patriot Act ha causato nella società USA.  Nonostante ciò il fatto che queste misure limitative della libertà hanno prodotto di fatto l'assenza di altri fatti identici all'undici settembre fanno sopportare tutta l'invasione agli spazi personali in aereoporto.

Per me la privacy non è un valore assoluto e se una ditta come Apple potesse aiutare a bloccare i pazzi che si fanno esplodere uccidendo civili e lasciando menomati a vita centinaia di persone lo troverei un atto assoluto di influenza positiva sulla società.

poi si sa, il Dio Denaro vale più di qualsiasi altro oppio dei popoli 


solo un esempio

Nonostante ciò il fatto che queste misure limitative della libertà hanno prodotto di fatto l'assenza di altri fatti identici all'undici settembre fanno sopportare tutta l'invasione agli spazi personali in aereoporto.

Ecco un altro esempio molto comune di non sequitur. Questa e' una logical fallacy anche nota come monster under the bed: mio papa' mi ha dato un orsacchiotto magico che dorme vicino a me e scaccia i mostri da sotto il letto. So che funziona perche' da quando ce l'ho non ho mai visto nessun mostro. 

TSA security controls fanno soltanto quello che si chiama Security Theatre: infatti, quando il governo ha commissionato test in incognito, il 95% delle armi da fuoco e' passato attraverso TSA senza che nessuno se ne accorgesse.

L'unica cosa che e' servita ad avitare altri 9/11 e' stata l'esperienza, insieme alle porte blindate in cabina. Poi ovviamente le porte blindate sono state responsabili degli incidenti germanwings and egyptair ma si sa che il diavolo fa le pentole ma non i coperchi...


ASTROLOGO 31/3/2016 - 16:05

Ammetto di fare molta fatica a seguirla in tutta questa discussione. La contrapposizione privacy vs sicurezza, che qui è accettata acriticamente, mi sembra affetta da un bias Occidente-centrico, per così dire. Cioè chi la propone pensa evidentemente che la privacy non abbia da fare con la sicurezza. L'assunzione implicita è che le pubbliche autorità siano sempre e comunque i buoni e che difendano i cittadini dai cattivi. Non è pacifico che sia così. Per chi in Russia o in Turchia è giornalista, politico, attivista, forse anche cittadino qualunque, non mettere in sicurezza i propri dati può significare la perdita della libertà o della vita. Ossia, la privacy non è una fisima liberal, come potrebbe sembrare a un occidentale con il suo corredo di diritti civili garantiti. (E comunque, anche in Occidente, non sempre e non ovunque le autorità pubbliche sono i buoni e i diritti dei cittadini garantiti).

La stessa definizione di criminale e terrorista, che per lei e per altri paiono non essere problematiche, sono tutt'altro che univocamente definite. Per Putin tutti coloro che combattono Assad sono terroristi. Per gli USA Snowden è un criminale, non così per altri Stati, anche occidentali. La Russia gli ha dato asilo politico.

Da che cosa deriva la sicurezza che il "compromesso" sia, oltre che auspicabile, anche possibile? In che cosa consisterebbe concretamente? quale esperto di sicurezza ha proposte che vanno in quella direzione? Perchè limitarsi a dire che un compromesso è solo una questione di  buona volontà e non andare oltre è un atto di fede. A supportare la posizione di Apple ci sono esperti di sicurezza, aziende high tech e associazioni per la difesa dei diritti civili. Dalla parte dell'FBI ci sono politici e enti pubblici. Già questo dovrebbe rendere chiaro il quadro della situazione, cioè chi voglia cosa. Per lo meno dovrebbe far drizzare le antenne.


ritorna fuori il concetto su cui ho risposto all'inizio e, visti i commenti, cerco di spiegarmi meglio, in pratica con un "ossimoro":

"PER ME la mia privacy e' un valore ASSOLUTO!"

..e cerchero' di difenderla con le unghie e con i denti, alleandomi con chi la pensa allo stesso modo.

per gli altri, facciano come gli pare meglio. comincino pure a scrivere le loro lettere personali sulle cartline invece che dentro alle buste postali, magari si risparmia pure sul francobollo (una volta era cosi' qui in Italia).

e per fortuna che per le tecnologie informatiche, allo stato in cui siamo adesso, il modello "bottom up" puo' ancora dire qualcosa, vedasi come un SO come Gnu/Linux (e "cugini" aperti ma meno "bazaar") in 20 anni e' passato da inseguitore a leader in tutti gli aspetti critici del trattamento digitale dei dati.

Scusa Giovanni, ho una domanda che magari ti sembrerà ingenua:

Posto che uno dei grossi problemi relativi al terrorismo (almeno, nel tuo ragionamento mi pare sia preponderante) è l'errata percezione del rischio dell'"uomo medio", non credi che forse sarebbe più utile lavorare sulla corretta comunicazione di questo rischio?

Cerco di mettermi nei tuoi panni, probabilmente esagerando le tue credenze reali: ammetti tu stesso di non riuscire ad apprezzare le difficoltà tecniche nella realizzazione di un "sistema di backdoor" universale, scalabile, e che possa essere usato soltanto dalle autorità. Inoltre, la comunità dei techies, quella che dovrebbe risolvere queste difficoltà tecniche, sembra essere refrattaria a qualsiasi mediazione ed eccessivamente tranchante sull'(im)possibilità di realizzare questo sistema. Supponiamo perfino di non poterci fidare di questi techies, perché la loro prospettiva è completamente distorta dalla loro expertise, e ciò li pone decisamente in una torre di avorio.

Concentrarsi sulla comunicazione corretta del rischio, d'altro canto, è un problema squisitamente politico, con cui la crittografia non c'entra assolutamente nulla. E a me, personalmente, sembra il metodo più fattibile per evitare le tragiche conseguenze che evochi nel tuo intervento (ascesa dei populisti, soluzioni disastrose per la società, ecc.)

Mi piacerebbe inoltre precisare una cosa del tuo intervento. Questa tua frase:

"Una componente essenziale dell'intelligence è la decrittazione dei messaggi dei terroristi, OK?"

in realtà, non è affatto scontata e andrebbe dimostrata. E se ci fai caso, il commento con cui ho aperto al thread creato da Michele Boldrin verte esattamente su questo aspetto: l'utilità dei dati dei terroristi decifrati dalle autorità. Curiosamente, nessuno sembra avere notato questa mia domanda, quindi ti chiederei gentilmente, se possibile, di elaborare su questo problema. Perché reputi che la "decrittazione dei messaggi dei terroristi" sia "una componente essenziale dell'intelligence"?. Notare che per "decrittazione" intendo dire esattamente la realizzazione di un sistema di backdoor universale, scalabile e impiegabile soltanto dalle autorità. Intesa in un senso più ampio (come "intercettazione") la risposta è banalmente intrinseca allo scopo stesso delle agenzie di intelligence.

EEF ha scritto su questo. Tra parentesi, fa una certa impressione vedere EFF supportare Apple.

Would it be easy for Apple to sign the requested cracking software?

The answer any trained security engineer will give you is "it shouldn't be." It's important to realize that if Apple's iOS signing key were ever leaked, or used to sign a malicious piece of code, it would undermine the secure boot loading sequence of the entire iOS platform. Apple has worked very hard to try to limit its devices to run only Apple-signed firmware and OS code. There are pros and cons to this approach, but Apple considers this signing key among the crown jewels of the entire company. There is no good revocation strategy if this key is leaked, since its corresponding verification key is hard-coded into hundreds of millions of devices around the world. While we don't know what internal security measures Apple takes with its signing key, we should hope they are very strict. Apple would not want to store it on Internet-connected computers, nor allow a small group of employees to abscond with it or to secretly use the key on their own. It is most likely stored in a secure hardware module in a physical vault (or possibly split across several vaults) and requires several high-level Apple personnel to unlock the key and sign a new code release. A rough comparison showing the complexity that is involved in making high-assurance digital signatures is the DNSSEC Root KSK signing ceremony process (for which video is available online). This is a complicated procedure involving dozens of people. Whatever Apple's process is, it's not something they want to undertake frequently. This enables a deliberately slow and costly security process. If the government begins routinely demanding new phone-specific cracking software, this could overwhelm the security of this process by requiring many more signatures. This is another valid reason why Apple is right to fight this order.

Mi sembra che il dibattito si possa incentrare su due punti chiave (che si vogliono tenere separati, vedi questo contributo labellato come "tecnico", ma che di fatto non lo sono realmente).

Il primo è la discussione dei "compromittisti" vs "impossibilisti", sulla questione tecnica, ovvero: esiste realmente la possibilità (anche remota) di inserire un qualche tipo di backdoor "governativa" efficace senza compromettere drasticamente tutti gli usi legittimi della crittografia, oppure no? Mi sembra che gli esperti di crittografia siano sostanzialmente unanimi nel ritenere che la risposta sia "no" (gli scritti di Schneier lo confermano).

Questo non si può sottovalutare come mi sembra vogliano i "compromittisti": se gli esperti di un campo sono abbastanza concordi su qualcosa relativo a quel campo, può anche darsi che si sbaglino, ma è molto difficile: ed è più probabile che si sbaglino, diciamo, sulla stima del tempo necessario a trovare la cura per il cancro, che su questioni di informatica teorica matematicamente dimostrabili.

Personalmente, se i "compromittisti" non riusciranno a smontare concretamente la tesi degli "impossibilisti", continuerò a ritenere che il dibattito sia mal posto, e, alla fine, funzionale solo a un indebolimento strutturale della sicurezza informatica che avrebbe conseguenze nefaste anche da un punto di vista di antiterrorismo o di indagini di polizia.

Tanto per fare un esempio, mi sembra che il "Manhattan Project" crittografico evocato dalla Clinton sia fuori luogo: nel 1939 i fisici nucleari erano sostanzialmente concordi che la realizzazione della bomba atomica fosse un problema di ingegneria (costoso, bisognoso di ulteriori ricerche, ma realizzabile); non dicevano "è irrealizzabile" ma poi lo hanno fatto lo stesso grazie all'investimento del governo!


Il secondo punto, che qui si comincia a valutare, sarà importante quando si valuterà il "tradeoff" politico. Il problema è ben posto, anche ammettendo (ma non concedendo) che la questione tecnica sia superabile in senso "compromittista"? Stiamo discutendo quanto la privacy personale debba "cedere" di fronte ad esigenze investigative o di sicurezza nazionale, ma non dovremmo invece discutere di quanto la MANCANZA di sicurezza crittografica rischi invece di compromettere, anche allo stato attuale delle cose, la sicurezza delle informazioni su cui si basano le infrastrutture sia dei privati cittadini, sia delle aziende, sia delle agenzie governative?

Non ho informazioni su dati, ma potrebbe essere interessante cercarli, che cerchino di quantificare il danno che oggi si ha a causa della debolezza della sicurezza crittografica dei sistemi informatici. Ho il sospetto che il "tradeoff", che ora i "compromittisti" immaginano si debba trovare, su una ipotetica scala dove "0" è la mancanza totale di crittografia e "1" è la "libertà totale" di crittografia che caratterizzerebbe il mondo attuale, in qualche punto tra 0 e 1, si dovrebbe spostare in effetti su valori superiori a 1: per esempio, implementando la crittografia di default in tutti i dispositivi "consumer" (per evitare il rischio di leak involontari di dati sensibili), o imponendo standard crittografici non forzabili per la comunicazione tra agenzie governative, e così via.